infowatch (infowatch) wrote,
infowatch
infowatch

Суд над "пентестером"

Дело было так. Некий сайтовладелец отписал в местном форуме предложение посмотреть его новый сайт. Общественность восприняла просьбу неоднозначно. Кто-то стал оценивать дизайн, кто-то указывал на погрешности в вёрстке, иные высказались об экономическом аспекте самого проекта. А герой нашего рассказа решил проверить этот ресурс на уязвимости.

Долго искать дыру ему не пришлось. Сайт оказался сделан на распространённом движке (CMS), а доступ в его административный интерфейс был закрыт дефолтным паролем.

Что предписывает в таком случае хакерская этика? Мы-то с вами в курсе. А некоторые – университетов не кончали и соответствующую теорию не знают. Про закон я вообще молчу.

Наш герой поступил так, как ему подсказала совесть. Сменил дефолтный пароль на новый (чтоб закрыть уязвимость) и написал сайтовладельцу сообщение об этом, прибавив о своей готовности передать новый пароль. Правда, сообщение не отправил по электронной почте, аське или СМС, а оставил на титульной странице сайта. Наверное, чтоб не потерялось и быстрее дошло. ;) Минут через двадцать админ веб-сайта стукнулся к нашему самозваному пентестеру в аську, и тот ему сообщил новый пароль.

Казалось бы, инцидент исчерпан. Как бы не так!

Как мы все понимаем, обнаруживший уязвимость отклонился от канонов этичного хакера. Но отклонился лишь слегка. Извинительно. А вот отклонение от российского законодательства... На этот счёт мнения кардинально разошлись.

Сайтовладелец немедля пишет заявление в милицию, и там возбуждают уголовное дело по ст.272. Неправомерный доступ к охраняемой законом компьютерной информации. Доступ к информации был? Был, однозначно. Правомерный? Вроде, нет. Информация охраняется законом? Как будто, да. Виновен!

Одна особенность в том, что ФЗ "Об информации...", на который ссылается обвинение, напрямую не говорит об охране доступности и целостности контента веб-сайта. (Охрану конфиденциальности пароля мы с вами уже обсуждали.)
«Статья 7
1. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен.
2. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации. »
Таким образом, контент публичного веб-сайта относится к общедоступной информации, которая конфиденциальной не является. А про целостность данный ФЗ не упоминает. (Разумеется, контент охраняется авторским правом, но уже не как информация, а как произведение – это иная ипостась и иная отрасль права.)

Таким образом, добавление текста к титульной странице чужого сайта нарушением конфиденциальности не является. А целостность общедоступной информации де-юре не охраняется.

Вторая особенность дела в том, что его следовало бы рассматривать как действия в условиях крайней необходимости.
«Статья 39. Крайняя необходимость
1. Не является преступлением причинение вреда охраняемым уголовным законом интересам в состоянии крайней необходимости, то есть для устранения опасности, непосредственно угрожающей личности и правам данного лица или иных лиц, охраняемым законом интересам общества или государства, если эта опасность не могла быть устранена иными средствами и при этом не было допущено превышения пределов крайней необходимости. »
Нормальное функционирование веб-сайта, очевидно, относится к тем самым интересам общества и правам лица-владельца сайта, которые охраняются ст.272 УК. А дефолтный пароль, безусловно, есть опасность, которую неплохо бы устранить. Чем быстрее, тем лучше, пока черви с вирусами не нашли.

Админ сайта не отрицает, что "взломщик" передал ему новый пароль. Однако утверждает, что пароль оказался неверным. Противоречие можно устранить, проанализировав логи веб-сервера и посмотрев, кто, с какого IP и в какие моменты времени авторизовался. Однако следователь этого не сделал. И даже не провёл как положено выемку логов, ограничившись получением их копии от потерпевшего.

Также админ и сайтовладелец утверждают, что за "восстановление" сайта второй заплатил первому 50 000 рублей, которые теперь надо взыскать с подсудимого. (Интимная подробность: шелл-доступ и доступ в БД оставались нетронутыми.)

Предварительное следствие закончено. Обвинение сформулировано, свидетели допрошены. Завтра прения сторон – и затем приговор.

Вот вам пруфлинк с завязкой и скриншотом дефейса.

Tags: НСД, пентест, расследование, статья 272
Subscribe
  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 39 comments